API 요청 서명: 함정과 모범 사례
2025-02-09
본 기사에서는 API 요청 서명의 보안 과제, 특히 JSON 객체 서명의 어려움에 대해 자세히 설명합니다. 저자는 간단한 HMAC 서명은 안전하지만 JSON 객체 내에서 직접 서명하면 JSON의 여러 동등한 표현으로 인해 서명 검증이 실패하는 등 다양한 문제가 발생할 수 있다고 지적합니다. 본 기사에서는 JSON 정규화, 중복 서명 데이터 추가, 대체 형식 사용 등 다양한 서명 방법을 비교 분석합니다. AWS 및 Flickr의 서명 체계 예시를 통해 잘못된 구현으로 인한 보안 위험을 보여줍니다. 결론적으로 저자는 TLS를 우선시하고 JSON 내 인라인 서명을 피하며, 대신 외부 서명을 사용할 것을 권장합니다.